下一代防火墙组网简介
部署模式
- 路由模式:所有接口都是路由口
- 透明模式:所有接口都是透明口
- 虚拟网线模式:所有接口都是虚拟网线口
- 混合模式:AF上同时存在多种接口类型
- 旁路模式:所有接口都是镜像口
接口类型
根据接口属性分类
- 物理接口
- 与设备面板上的接口一一对应
- 根据网口数据转发的特性不同,可以选择路由、透明、虚拟网线和旁路镜像4种类型
- 路由口、透明口、虚拟网线口也可以设置WAN或非WAN属性
- 物理接口不能删除或新增,物理接口由硬件型号决定
- 子接口
- 用于做单臂路由实现三层通信
- 子接口是逻辑接口,只能在路由口下添加子接口
- VLAN接口
- 聚合接口
- 将多个以太网接口捆绑在一起,形成逻辑接口
- 负载均衡-Hash:按数据包源目的IP/MAC的Hash值均分
- 负载均衡-RR:直接按数据包轮转均分到每个接口
- 主备模式:取Eth最大号的主接口手法数据包,其余为备接口
- 最多支持4个物理口聚合
物理口配置类型
- 路由口
- 需要给接口配置IP地址、网关,连接一个独立的网段,具备路由转发功能
- 实时检测接口的链路状态,以及多条外网线路的情况下,需要开启链路检测故障,以保证当其他线路故障时,流量可以自动切换到其他线路
- Eth0是固定的管理接口,不能修改接口类型,只能增加管理IP(10.251.251.251/24无法删除)
- 会改变现有的网路结构
- 透明口
- 二层接口,与交换机的工作模式一致,不支持路由转发,只能根据MAC地址表转发数据
- 需要配置接口类型(Access/Trunk)、VLAN信息
- 支持多进多出,不会改变现有的网络结构
- 虚拟网线口
- 二层接口,成对出现,不需要IP地址,不支持路由转发,转发数据时,从一个接口收到数帧,会从另一个接口发出,不检查MAC表,转发速度快
- 需要选择与该接口配对的另外一个接口,转发性能高于透明接口,适用于单进单出的网桥环境
- 仅支持单进单出,不会改变现有的网络结构
- 镜像口
接口工作区域
- 二层区域口:透明口、镜像口
- 三层区域口:路由口
- 虚拟网线区域口:虚拟网线口
区域
- 用于定义或归类接口
- 是本地逻辑安全区域的概念,是一个或多个接口所连接的网络
-
-
- 当不同区域之间发生数据流动时,会触发安全检查,实施相关的安全策略
- 同区域内部发生的数据流动是不存在风险的,不需要实施安全策略
- 同一个接口所连网络的所有网络设备属于同一个区域,一个区域中可以包含多个接口,一个接口只能属于一个区域
下一代防火墙组网方案
AF初始配置
- 创建区域,设置区域类型
- 配置接口,选择接口类型,并加入到相应的区域,做相关的配置
- 如果AF是互联网的出口设备,还需要配置SNAT,使内网用户可以访问互联网
- 如果内网有服务器需要发布到公网,需要配置DNAT
- 如果内网有三层的网络环境,则需要配置到达终端网段的路由
- 创建相关的放通网络的策略,默认情况下AF是禁止任何数据通过的
路由模式组网
- 适用NGAF替换现有防火墙,实现对内网用户和服务器的安全防护
- 配置过程
- 配置接口地址,并定义接口对应的区域
- 配置路由
- 配置代理上网
- 配置应用控制策略,放通内网用户上网权限
- 配置安全防护策略
透明模式组网
- 部署NGAF设备对内网用户进行安全防护,但是不改动现有的网络结构
- 配置过程
- 配置接口地址,并定义接口对应的区域
- 配置管理接口
- 配置路由
- 配置应用控制策略,放通内网用户上网权限
- 配置安全防护策略
混合模式组网
- 公司内网有服务器集群,服务器都配置了公网IP地址,发布到了公网,使所有用户直接通过公网IP地址进行访问。内网用户使用私有地址,通过NAT转换上网
- 使用混合模式组网
- 连接服务器和公网的接口IP地址是属于同一个网段,而防火墙的不同接口要属于不同的网段,所以使用透明接口
- 连接内网的接口需要配置网关,所以使用路由接口
旁路模式组网
- 使用NGAF来实现内网防护和对内网防护数据进行分析,要求不改动现有的网络环境
- 配置过程
- 配置镜像接口,定义接口对应的区域,并配置流量监听网络对象
- 配置管理接口
- 启用旁路reset功能,只有启用旁路Reset功能,NGAF才能对TCP的流量进行截断
- 配置安全防护策略
- 旁路模式支持的功能
- APT:僵尸网络
- PVS:实时漏洞分析
- WAF:Web应用防护
- IPS:入侵防护系统
- DLP:数据泄露防护
- 网站防篡改部分功能:客户端保护
策略路由
- 是路由的一种。普通路由只匹配目的IP、子网掩码和下一跳网关
- 策略路由可以弥补普通路由的不足,可以根据配置策略来匹配源、目的、协议、出口等、
- 在有多条外网线路的情况下,可以配置策略路由来灵活负载
- 策略路由分类
- 源地址策略路由——可指定内网哪些IP走指定线路出公网
- 多线路负载路由——可指定多条线路进行负载选路
- 注意事项
- AF路由的优先级
- VPN路由 > 静态路由 > 策略路由 > 默认路由
- 每一条外网线路都必须至少有一条策略与之对应
- 源地址策略路由可以通过直接填写路由的下一跳,来实现从设备的非WAN属性的接口转发数据
- 多线路负载路由选择的接口,必须要开启链路故障检测功能,才能实现线路故障自动切换
- 如果有多条策略路由,按照从上往下的顺序匹配,一旦匹配到某条策略路由后,不再向下匹配
- 策略路由是在转发平面,不修改路由的属性,通过转发策略影响数据的转发
- 路由策略是在控制平面,通过修改路由属性,来影响数据的转发
- 链路故障检测功能原理
- DNS解析:会每间隔一定的时间,向填写的DNS服务器请求解析一个域名,未得到回应的次数超过阈值,则判断线路故障
- Ping:向固定的IP地址执行Ping命令,未得到回应的次数超过阈值,则判断线路故障
以上内容均属原创,如有不详或错误,敬请指出。
本文链接: http://t.csdn.cn/ZSzK4